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IT-Sicherheit durch mehr Transparenz und Standardisierung bei Zählweisen und 
Klassifizierungen von Angriffen 


Vorbemerkung der Fragesteller 

Zur Erlangung eines präzisen und faktenbasierten Lagebildes und zu den Grund¬ 
lagen guten Regierens auch im Feld der IT-Sicherheit gehört es nach Ansicht 
der Fragesteller, möglichst eindeutige, transparente und nachvollziehbare Kenn¬ 
zahlen zur Nachzeichnung der Entwicklung im Bereich von IT-Angriffen zu 
erreichen. Nur auf der Grundlage faktenbasierter und nachvollziehbarer Darstel¬ 
lungen kann auch der Deutsche Bundestag zu problem- und sachbezogenen Dis¬ 
kussionen hinsichtlich seiner Kontroll- und Regulierungsaufträge in dieser für 
die Sicherheit der Bevölkerung zentralen Thematik gelangen. 

Auf die Notwendigkeit klarer Definitionen und Zuständigkeiten bei der Ab¬ 
wehr von IT-Angriffen wurde wiederholt, auch in parlamentarischen Initiativen 
(vgl. beispielsweise Forderung h des Antrags der Fraktion BÜNDNIS 90/ 
DIE GRÜNEN „IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern“ auf 
Bundestagsdrucksache 19/1328) hingewiesen. An der gängigen Praxis der pau¬ 
schalisierenden Veröffentlichung von zum Teil extrem hohen oder auch niedri¬ 
gen Zahlen ohne nähere Erläuterung von deren Zustandekommen (vgl. bei¬ 
spielsweise die Meldung der Bundesregierung, www.heise.de/newsticker/mel- 
dung/Ueber-47-Milhonen-IT-Angriffe-auf-die-Bundeswehr-im-Jahr-2016-359 
5632.html) bestehen mit Blick auf die Notwendigkeit einer differenzierten und 
zutreffenden Einschätzung dieser komplexen Risiken durch die Öffentlichkeit 
aus Sicht der Fragesteller erhebliche Zweifel (Hinweise dazu etwa unter www. 
defenseone.com/ideas/2018/09/cyberspace-govemments-dont-know-how-count/ 
151629/?oref=d-river). 


Vorbemerkung der Bundesregierung 

Der von den Fragestellern verwendete Begriff „Hackback“ wird von der Bundes¬ 
regierung konzeptionell nicht verwendet, weder für Aktivitäten der Cyber-Ab¬ 
wehr noch der Cyber-Verteidigung. Der Beantwortung dieser Kleinen Anfrage 
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legt die Bundesregierung insoweit die Begrifflichkeiten aus der Vorbemerkung 
der Bundesregierung zur Antwort auf die Kleine Anfrage der Fraktion der FDP 
auf Bundestagsdrucksache 19/2645 zugrunde. 


1. Welche Stellen sind innerhalb der Bundesregierung und der ihr nachgeord- 
neten Behörden mit der Klassifizierung und der Abwehr von IT-Angriffen 
beschäftigt (bitte im Einzelnen aufschlüsseln)? 

Die Abwehr von IT-Angriffen einschließlich deren Klassifizierung ist eine Auf¬ 
gabe, die jeder Betreiber von Netzen und IT-Systemen im Rahmen seiner Regel¬ 
aufgaben wahmimmt. Hierzu gibt es teilweise eigene Organisationsbereiche, wie 
beispielsweise der militärische Organisationsbereich Cyber- und Informations¬ 
raum im Geschäftsbereich des Bundesministeriums für Verteidigung. 

Eine besondere Rolle kommt dem Bundesamt für die Sicherheit in der Informati¬ 
onstechnik (BSI) zu, das im Rahmen seines gesetzlichen Auftrags (§ 3 Absatz 1 
Nummer 1 des Gesetzes über das Bundesamt für Sicherheit in der Informations¬ 
technik - BSIG) für die Abwehr von Gefahren für die Sicherheit der Informati¬ 
onstechnik des Bundes insgesamt zuständig ist. Hierunter fällt auch die Abwehr 
von IT-Angriffen und deren Klassifizierung. Das BSI arbeitet dabei eng mit den 
behördlichen Auffragsdatenverarbeitem (u. a. ITZBund, BWI) und kommerziel¬ 
len Dienstleistem/Providem zusammen. 

Gemäß § 4 Absatz 2 Nummer 2 BSIG hat das BSI Bundesbehörden unverzüglich 
über die sie betreffenden Informationen und die in Erfahrung gebrachten Zusam¬ 
menhänge zu unterrichten. 

Das Bundesamt für Verfassungsschutz (BfV) ist bei der Abwehr von IT-Angrif¬ 
fen gemäß § 3 Absatz I des Gesetzes über die Zusammenarbeit des Bundes und 
der Länder in Angelegenheiten des Verfassungsschutzes und über das Bundesamt 
für Verfassungsschutz (BVerfSchG) zuständig für die Sammlung und Auswer¬ 
tung von Informationen über nachrichtendienstlich gesteuerte sowie extremis¬ 
tisch bzw. terroristisch motivierte IT-Angriffe. 

Das BfV unterrichtet im Rahmen seiner Aufgabenerfüllung betroffene Bundes¬ 
behörden unverzüglich, sobald Erkenntnisse über einen möglichen oder versuch¬ 
ten bzw. erfolgten IT-Angriff vorliegen. 

Ergänzend werden Betroffenen entsprechende Daten zum Schutz ihrer IT-Sys- 
teme zur Verfügung gestellt, die ein Erkennen und ggf Abwehren des Angriffs 
ermöglichen. 

Das Bundeskriminalamt (BKA) und die Bundespolizei (BPOL) sind im Rahmen 
der bestehenden Aufgaben auch zuständig für die Klassifizierung und Abwehr 
von IT-Angriffen. 

Im Geschäftsbereich des Bundesministeriums der Verteidigung (BMVg) nimmt 
gemäß § I Absatz I des Gesetzes über den militärischen Abschirmdienst (MAD- 
Gesetz) der Militärische Abschirmdienst diese Aufgabe wahr. 

Der Bundesnachrichtendienst (BND) sammelt im Rahmen seiner Zuständigkeiten 
Informationen über IT-Angriffe und wertet diese aus. 
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2. Welches Bundesministerium hat eine federführende bzw. koordinierende 
Funktion bei der Klassifizierung und der Abwehr von IT-Angriffen, und auf 
welchem Weg findet die Koordination zwischen den verschiedenen, mit der 
Thematik betreuten Bundesministerien statt? 

Die Koordination zu Fragen der Klassifizierung und der Abwehr von IT-Angrif- 
fen erfolgt im Rahmen der ressortübergreifenden Arbeitsgruppe Informationssi¬ 
cherheitsmanagement (AG ISM). Für die Arbeit der AG ISM ist kein Ministerium 
federführend; koordinierende Aufgaben nimmt das Bundesministerium des In¬ 
nern, für Bau und Fleimaf (BMI) wahr. 


3. Welche Bundesministerien und nachgeordneten Bundesbehörden veröffent¬ 
lichten (in Pressestatements der Hausleitungen usw.) in den zurückliegenden 
fünf Jahren eigene Zahlen zu Angriffen auf ihre eigenen IT-Systeme, IT- 
Netze, Infrastrukturen oder die IT-Systeme Dritter bzw. auf die IT-Infra- 
stmktur der Bundesregierung insgesamt (bitte im Einzelnen aufhsten)? 

4. In wie vielen dieser Fälle erfolgten diese Veröffentlichungen auf Anweisung 
oder in Absprache mit einem der Bundesministerien (bitte entsprechend un¬ 
terscheiden, welche, und Hintergmnd darlegen)? 

Wegen des Sachzusammenhangs werden die Fragen 3 und 4 gemeinsam beant¬ 
wortet. 

Das BSI veröffentlicht Zahlen zu Angriffen auf die IT-Infrastruktur der Bundes¬ 
regierung insgesamt im jährlichen Bericht „Die Lage der IT-Sicherheit in 
Deutschland“: www.bsi.bund.de/DE/Publikationen/Lageberichte/lageberichte_ 
node.html. 

Im Geschäftsbereich des BMVg wurden im Rahmen von zwei Veröffentlichun¬ 
gen zur angeffagten Thematik und zur auftretenden Fläufigkeit Stellung bezogen: 

1. Grundsatzartikel (aus 4/2018) 

www.bmvg.de/de/aktuelles/die-bedrohung-aus-dem-cyber-raum-fuer-die- 

bundeswehr-bleibt-konkret-23430 

2. Veröffentlichung im Rahmen Y- Das Magazin der Bundeswehr (3/2019). 
Die Inhalte von Veröffentlichungen zur Thematik Angriff auf eigene IT-Inffa- 
strukturen im Geschäftsbereich des Bundesministeriums der Verteidigung 
werden grundsätzlich mit den zuständigen Fachstellen des Bundesministeri¬ 
ums der Verteidigung abgestimmt. 

Das Bundeskriminalamt (BKA) veröffentlicht jährlich das Bundeslagebild Cy- 
bercrime, in dem zu Straftaten und Phänomenen im Bereich Cybercrime berichtet 
wird. Die Lagebilder sind abrufbar unter: www.bka.de/DE/AktuelleInformationen/ 
StatistikenLagebilder/Lagebilder/Cybercrime/cybercrime node.html. Das BKA 
veröffentlicht zudem anlassbezogen Wamhinweise. 

Die Bundespolizei (BPOL) veröffentlichte in den Jahresberichten 2017 S. 37 
(1. November 2018) und 2018 S. 84 (17. Juli 2019) Zahlen zu den in Frage 3 
angeführten Sachverhalten. 

Die genannten Lageberichte, Lagebilder und Presseveröffentlichung werden re¬ 
gelmäßig zwischen den Geschäftsbereichen und den jeweiligen Fachaufsichtsres¬ 
sorts abgestimmt. 
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5. Welche Gefahrenstufen unterscheidet die Bundesregierung für das Vorlie¬ 
gen von Zugriffsversuchen, wie sind diese im Einzelnen definiert und kann 
die Bundesregierung eine für die Ressorts unterscheidbare Aufschlüsselung 
der jeweiligen Jahresstatistik nach Gefahrenstufen, wie etwa eine Antwort 
der Bundesregierung auf eine Frage des Abgeordneten Alexander Graf 
Lambsdorff (vgl. Bundestagsdrucksache 19/2922, Frage 87, S. 65) nach An¬ 
sicht der Fragesteller suggeriert, vorlegen? 

Für die Behörden des Bundes klassifiziert die Allgemeine Verwaltungsvorschrift 
(AVV) über das Meldeverfahren gemäß § 4 Absatz 6 BSIG acht Gefahrdungs¬ 
kategorien für die Informationstechnik (vgl. Anlage 1 der AVV) und orientiert 
sich dabei am Gefahrdungskatalog der IT-Grundschutz-Kataloge sowie der ISO 
27005; vgl. hierzu: www.verwalfungsvorschriften-im-intemet.de/bsvwvbund_ 
08122009_IT5606000111 .htm. 

Sofern bei einem IT-Vorfall eine unmittelbare Gefahr für die Sicherheit der In¬ 
formationstechnik des Bundes nicht ausgeschlossen werden kann, sind die Be¬ 
hörden des Bundes gern, der o. g. AVV zur sofortigen Meldung (SOFORT-Mel- 
dung) der für die Abwehr von Gefahren für die Sicherheit in der Informations¬ 
technik erforderlichen Informationen (insbesondere zu Sicherheitslücken, Schad¬ 
programmen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Infor¬ 
mationstechnik und der dabei beobachteten Vorgehensweise) an das BSI ver¬ 
pflichtet. Dieses nimmt unverzüglich eine Bewertung der übermittelten Informa¬ 
tionen vor. 

Kann eine unmittelbare Gefahr für die Sicherheit der Informationstechnik des 
Bundes ausgeschlossen werden, erfolgt durch die Behörden monatlich eine ge¬ 
sammelte Meldung über die relevanten Informationen an das BSI (STATISTI¬ 
SCHE Gesamtmeldung). Eine Aufschlüsselung für die Ressorts isl hinsichtlich 
der SOFORT-Meldungen sowie der monatlichen Statistik-Meldungen derzeit 
technisch nicht vorgesehen. 

Das BfV unterscheidet bei seinen Analysen nachrichtendienstlicher Cyberan¬ 
griffe zwischen Zugriffsversuchen und tatsächlich erfolgten Zugriffen. 

Die Antwort zu Frage 87 auf Bundestagsdrucksache 19/2922 nimmt Bezug auf 
die Klassiflziemng von Cyberabgriffen im Bereich des Bundesministeriums der 
Verteidigung und dessen Geschäftsbereich (Bundeswehr), insoweit handelt es 
sich hier um eine ressortinteme Regelung. 

Die an ihren zentralen Intemetübergängen durch die Sensorik erfassten unberech¬ 
tigten oder mit Schadpotenzial behafteten Zugriffsversuche unterscheidet der Ge¬ 
schäftsbereich des Bundesministeriums der Verteidigung nach den Gefahrenstu¬ 
fen „gering“ und „hoch“. Dabei werden Zugriffsversuche als „hoch“ bewertet, 
die ein hohes Schadenspotenzial gehabt hätten, wenn keine präventiven techni¬ 
schen IT-Sicherheitsmaßnahmen durchgeführt worden wären. „Hoch“ lässl damil 
also keinen Rückschluss auf die Schadenseinlriftswahrscheinlichkeil zu und im¬ 
pliziert insbesondere nichl, dass ein Schaden laisächlich eingelrelen wäre. 

Alle anderen über die Sensorik erfassten Zugriffsversuche werden mil „gering“ 
bewertet Damil ergibt sich auch die Möglichkeit eine Aufschlüsselung der jewei¬ 
ligen Jahresstatistik nach Gefahrenstufen vorzunehmen. 

Darüber hinaus meldet das Bundesministerium der Verteidigung und dessen Ge¬ 
schäftsbereich gemäß dem Meldeverfahren § 4 Absatz 6 BSIG. 
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6. In welcher Hinsicht haben sich konkret zwischen 2016 und 2017 aufgrund 
welcher Überlegungen und Vorgänge die Vorgaben für die statistische Zähl¬ 
weise als auch die Bewertungen für die Gefahrenstufe verändert (vgl. ebd.)? 

Die Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Ab¬ 
satz 6 BSIG gilt seit ihrem Inkrafttreten im Jahr 2009 unverändert (vgl. Antwort 
zu Frage 5). 

Für das BMVg und seinen Geschäftsbereich wurde eine Anpassung aufgrund von 
Erfahrungswerten und Überlegungen, wie auch von den Fragestellern in der Vor¬ 
bemerkung angestellt, der bisherigen Regelungen und der Differenzierung nach 
Gefahrenstufen „hoch“ und „niedrig“ vorgenommen (vgl. Antwort zu Frage 5). 
Im Rahmen der statistischen Zählweise werden die Zahlen für Zugriffsversuche 
auf die im Ausland eingesetzten IT-Systeme nicht mehr gesondert ermittelt. 


7. Hält die Bundesregierung die derzeitig genutzten Definitionen für ausrei¬ 
chend ausdifferenziert, um der Problematik angemessen zu begegnen? 

Die Bundesregierung hält die getroffenen Regelungen, insbesondere die in der 
Allgemeinen VerwaltungsVorschrift über das Meldeverfahren gemäß § 4 Ab¬ 
satz 6 BSIG getroffene Klassifizierung, grundsätzlich für ausreichend. Bei Ein¬ 
tritt definierter herausgehobener Fälle werden diese gemäß BSIG zusätzlich indi¬ 
viduell und einzelfallbezogen sorgfältig bearbeitet, um dem Problem angemessen 
zu begegnen. 


8. Über welche Zahlen verfügt die Bundesregiemng bezüglich Angriffen der 
Gefahrenstufe sog. Advanced Persistent Threats (APT) auf Bundesministe¬ 
rien oder Behörden in ihrem Geschäftsbereich (bitte im Einzelnen aufschlüs¬ 
seln)? 

Die Bundesregierung führt keine Statistiken zur Anzahl von APT-Angriffen. 


9. Besteht für die Erkennung, Zählung und deren Definition bzw. Klassifizie¬ 
rung als IT-Angriff eine übergeordnete und/oder abgestimmte, für alle Bun¬ 
desministerien und Bundesbehörden geltende Vorgehensweise oder gar Er¬ 
lasslage? 

Wenn ja, welche konkret, und welche Informationen sind zu jedem Angriff 
aufzuzeichnen? 

Wenn nein, wamm nicht? 

Für die Erkennung, Zählung und deren Definition/ Klassifizierung als IT-Angriff 
gilt die Allgemeine Verwaltungsvorschrift über das Meldeverfahren gemäß S 4 
Absatz 6 BSIG. 

Der Umfang der bei einem IT-Vorfall dem BSI mitzuteilenden Informationen ist 
in Anlage 2 der vorgenannten AVV niedergelegt; vgl. hierzu: www.verwaltungs 
vorschriften-im-intemet.de/pdf/BMI-IT5-20091208-SF-A002.pdf 

Im Übrigen wird auf die Antwort zu Frage 5 verwiesen. 
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10. Besteht aus Sicht der Bundesregierung eine (beispielsweise durch eine sol¬ 
che Erlasslage ermöglichte) Vergleichbarkeit zwischen Angriffen (Quantität 
und Qualität) auf einzelne Bundesministerien und Bundesbehörden? 

Die Vergleichbarkeit der gemeldeten Vorfälle ist basierend auf der Allgemeinen 
Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Absatz 6 BSIG grund¬ 
sätzlich gegeben. 


11. Besteht für die Erkennung, Zählung und Definition bzw. Klassifizierung als 
IT-Angriff eine zwischen einzelnen oder mehreren Behörden des Bundes 
und der Länder abgestimmte Vorgehensweise, und wenn nein, warum nicht? 

Auf die Antwort zu Frage 9 wird verwiesen. 

Für die gemeinsame Abwehr von IT-Angriffen auf Bund und Länder hat der 
IT-Planungsrat ein verbindliches Meldeverfahren zum Informationsaustausch 
über IT-Sicherheitsvorfälle im VerwaltungsCERT-Verbund (VCV) beschlossen: 
www.it-planungsrat.de/SharedDocs/Sitzungen/DE/2017/Sitzung_24.html?pos=5. 


12. Sollte es die in Frage 9 erfragte, übergeordnete und/oder abgestimmte, für 
alle Bundesbehörden geltende Vorgehensweise oder gar Erlasslage für die 
Erkennung, Zählung und deren Definition bzw. Klassifiziemng als IT-An- 
griff nicht geben, gibt es zumindest für die innerhalb des Cyberabwehrzen¬ 
trums (CAZ) zusammenarbeitenden Bundesministerien und Behörden hin¬ 
sichtlich IT-Angriffen einheitliche Definitionen? 

Falls nicht, was hat die Bundesregiemng bislang unternommen, um die un¬ 
terschiedlichen Definitionen anzugleichen? 

Die Bundesregierung verwendet als Rahmenvorgabe die in der Antwort zu 
Frage 9 angeführte Allgemeine Verwaltungsvorschrift über das Meldeverfahren 
gemäß § 4 Absatz 6 BSIG. Es sieht den Behörden darüber hinaus frei, eigene für 
ihren spezifischen Aufgabenbereich erforderliche Delinifionen zu Ireffen. Eine 
Vereinheitlichung aller Definitionen ist schon allein aufgrund der unterschiedli¬ 
chen Zuständigkeiten der Behörden weder erforderlich noch zielführend. 


13. Besteht für die Erkennung, Zählung und Definition bzw. Klassifizierung als 
IT-Angriff eine zwischen einzelnen oder mehreren Behörden europäischer 
Mitgliedstaaten oder in Organisationen wie der NATO abgestimmte Vorge¬ 
hensweise, und wenn nein, warum nicht? 

14. Wird die Bundesregierung sich für eine stärkere Klassifiziemng und/oder 
Standardisiemng einsetzen? 

Falls ja, welche Pläne gibt es hierfür konkret? 

Falls nein, wamm nicht, und wird hierfür keine Notwendigkeit gesehen? 

Wegen des Sachzusammenhangs werden die Fragen 13 und 14 gemeinsam be¬ 
antwortet. 

Die Kooperationsgruppe gemäß Artikel 11 der Richtlinie (EU) 2016/1148 des 
Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur 
Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und In¬ 
formationssystemen in der Union (NIS-Richtlinie) hat ein gemeinsames Doku¬ 
ment über eine „Cybersecurity Incident Taxonomy“ erarbeitet und im Juli 2018 
veröffentlicht (abrufbar unter http://ec.europa.eu/newsroom/dae/document.cfm? 
doc_id=53646). 



Deutscher Bundestag - 19. Wahlperiode 


-7- 


Drucksache 19/12280 


Die Kooperationsgruppe besteht aus Vertretern der EU-Mitgliedstaaten, der Eu¬ 
ropäischen Kommission und der Europäischen Agentur für Netz- und Informati¬ 
onssicherheit (ENISA). Gemäß dem in der NIS-Richtlinie, insbesondere in Arti¬ 
kel 11 Absatz 3 Buchstabe b niedergelegten Mandat der Kooperationsgruppe wird 
die Bundesregierung sich auch weiterhin für den Ausfausch von bewährten Ver¬ 
fahren über den Informationsaustausch im Zusammenhang mit der Meldung von 
Sicherheitsvorfällen einsefzen. 

Für die Mifgliedsfaafen der EU werden durch die ENISA enfsprechende Empfeh¬ 
lungen veröffentlichf. 

In der NATO gibt es derzeit keine verbindliche Vorgehensweise. Für die Bundes¬ 
regierung und die übrigen Alliierten sind Fragen der Cyber-Sicherheit eine zu¬ 
vorderst nationale Prärogative. Die NATO bietet hierfür eine Plattform für Kon¬ 
sultationen, Koordinierung und gegenseitige Unterstützung zwischen den Alliier¬ 
ten. Die Bundesregierung erachtet die bestehende Vorgehensweise als derzeit an¬ 
gemessen. 


15. ffat es zwischen Behörden des Bundes jemals eine Diskussion und/oder eine 
Verständigung über eine entsprechende Matrix im Umgang mit der Erken¬ 
nung, Definition bzw. Klassifizierung und der Zählung von IT-Angriffen ge¬ 
geben, und wenn ja, wann, in welchem Rahmen (etwa im CAZ, während 
einer Sitzung der IMK usw.), welchen Inhalts und mit welchem Ergebnis 
(ggf bitte entsprechende ffandlungsanweisungen bzw. Erlasse etc. beifü¬ 
gen)? 

Auf die Antwort zu Frage 9 wird verwiesen. 


16. Plant die Bundesregierung eine entsprechende übergreifende oder zumindest 
für einzelne Behörden vorzunehmende Vereinheitlichung und/oder Standar- 
disiemng in der Klassifiziemng und Zählung von IT-Angriffen, und wenn 
nein, wamm nicht? 

Es besteht seitens der Bundesregierung derzeit keine konkrete Planung zur Ver¬ 
änderung bei der Klassifizierung und Zählung von IT-Angriffen. Eine Fortent¬ 
wicklung ist jederzeit möglich und das Verfahren dazu bereits in der Verwal¬ 
tungsvorschrift definiert. 

Im Übrigen wird auf die Antwort zu Frage 9 verwiesen. 


17. Welche Formen von IT-Vorfällen (z. B. Pings, Port-Scans, E-Mails mit 
Schadprogrammen, Vireninfektionen etc.) werden in den unterschiedlichen 
Behörden für die Zählung berücksichtigt (bitte im Einzelnen aufzählen), und 
welche Risikoerwägungen liegen diesen Einordnungen jeweils zugrunde? 

Auf die Antwort zu Frage 9 wird verwiesen. 
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18. Handelt es sich bislang im Schwerpunkt allein um die Zählung von durch 
Anti-Viren-Schutzmaßnahmen erfasste Schadprogramme (vgl. etwa BSI- 
Bericht von 2017 www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publi- 

kationen/Lageberichte/Lagebericht2017.pdf?_^blob=publicationFile&v=4), 

und wie werden diese Schadprogramme gezählt (z. B. Zählung je tatsächlich 
oder potentiell erreichtem E-Mail-Account oder Zählung nur ein Mal pro 
aufgefundenem, unterscheidbarem Schadprogramm etc.)? 

Die statistische Erfassung von IT-Vorfallen beschränkt sich nicht nur auf von 
durch Anti-Viren-Schutzmaßnahmen erfasste Schadprogramme. Die vollständige 
Liste zu erfassender IT-Vorfälle ist in der Anlage 1 der Allgemeinen Verwal¬ 
tungsvorschrift über das Meldeverfahren gemäß § 4 Absatz 6 BSIG aufgeftihrt; 
vgl. hierzu: www.verwaltungsvorschriften-im-intemet.de/BMI-IT5-2009 1208- 
SF-AOOl.htm. 


19. Zählen Spam-Mails und/oder Phishing-Mails nach wie vor als (einzeln zu 
erfassende) IT-Angriffe, und wenn ja, bei welchen Behörden? 

Gmndsätzlich sind weder Spam-Mails noch Phishing-Mails gemäß der Allgemei¬ 
nen Verwaltungsvorschrift über das Meldeverfahren gemäß § 4 Absatz 6 BSIG 
zu erfassen. Wird jedoch deutlich, dass entsprechende E-Mails im Zusammen¬ 
hang mit einem IT-Vorfall stehen, werden sie in der Regel gemeldet. Den Behör¬ 
den steht es darüber hinaus frei, für eigene Zwecke derartige Zählungen durchzu¬ 
führen. Sie gehen allerdings nicht in die offiziellen Zählstatistiken ein. 


20. Zählen groß angelegte Angriffe, die über lange Zeiträume (Wochen oder 
Monate) durchgeführt werden, als einzelne IT-Angriffe, oder werden diese 
mehrfach erfasst? 

Wie wurde beispielsweise der Angriff auf die Netze des Deutschen Bundes¬ 
tages in der ersten Hälfte des Jahres 2015 gezählt? 

Soweit diese groß angelegten Angriffe als zusammengehörig erkannt werden, 
werden sie als ein IT-Angriff statistisch erfasst, unabhängig von der zeitlichen 
Erstreckung des Angriffs oder der Vorfallsbearbeitung. Insbesondere wurde auch 
bei dem Angriff auf das Netz des Bundestages so verfahren. 


21. In welcher Form werden durch IT-Angriffe ausgelöste Schäden und Beein¬ 
trächtigungen ermittelt und erfasst? 

Im Rahmen der Ausfühmng der Allgemeinen Verwaltungsvorschrift über das 
Meldeverfahren gemäß § 4 Absatz 6 BSIG werden abstrakt die Auswirkungen 
auf die Informationen bzw. die Informationstechnik erfasst. Konkrete finanzielle 
oder personelle Aufwände zur Eindämmung bzw. Beseitigung der IT-Angriffe 
werden nicht systematisch erfasst. 


22. Bestehen einheitliche Regeln dazu, in welcher Form, welchem Umfang und 
innerhalb welcher Frist die von IT-Angriffen betroffenen Bundesbehörden 
über diese in Kenntnis gesetzt werden müssen? 

Grundsätzlich unterrichten sich Behörden im Rahmen der vertrauensvollen Zu¬ 
sammenarbeit unverzüglich, sobald Erkenntnisse über einen möglichen oder ver¬ 
suchten bzw. erfolgten IT-Angriff vorliegen. 

Im Übrigen wird auf die Antwort zu Frage I verwiesen. 
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23. Teilt die Bundesregierung die Ansicht der Fragesteller, dass Begrifflichkei- 
ten wie „Cyberangriff/Cyberattacke“ zu unspezifisch sind, um ein genaues 
Lagebild als Grundlage für Abwehrmaßnahmen etc. zu bekommen? 

Basierend auf der Allgemeinen Verwaltungsvorschrift über das Meldeverfahren 
gemäß § 4 Absatz 6 BSIG werden IT-Vorfälle durch die Stellen des Bundes über 
die bloße Charakterisierung als „Cyberangriff/Cyberattacke“ hinaus detaillierter 
differenziert. 

Im Übrigen wird auf die Antwort zu Frage 9 verwiesen. 


24. Flat die Bundesregierung eine Position zur Frage, ob die Stärkung der IT- 
Sicherheit eine zentrale Bedingung für das Gelingen der gesellschaftlichen 
Gestaltung der Digitalisierung, für die Schaffung von Vertrauen in digitale 
Angebote und Infrastrukturen, für den Erhalt von Freiheit sowie für die Si¬ 
cherung von Frieden ist und es bezüglich der Stärkung der IT-Sicherheit, der 
Zusammenarbeit der involvierten Bundesministerien und Behörden sowie 
der Flärtung digitaler Infrastmkturen erheblicher weiterer Anstrengungen be¬ 
darf, um der verfassungsrechtlich gebotenen Schutzverantwortung für die 
Vertraulichkeit und Integrität informationstechnischer Systeme und dem 
Grundrecht auf Privatheit der Kommunikation gerecht zu werden? 

Wenn nein, warum nicht? 

Die Bundesregierung ist der Auffassung, dass die IT-Sicherheit eine der zentralen 
Voraussetzungen für eine erfolgreiche Digitalisierung ist. Weitere in der Frage 
genannte Aspekte, wie Vertrauen in digitale Angebote und Infrastrukturen oder 
Erhalt von Freiheit, sind eine Folge und hängen auch von mehr Faktoren als nur 
der IT-Sicherheit ab. 

Die IT-Sicherheit ist ein fortwährendes Anliegen der Bundesregierung, das sie 
seit der Verbreitung der IT in Staat, Wirtschaft und Gesellschaft intensiv berück¬ 
sichtigt. Bereits 1991 hat sie das Bundesamt für die Sicherheit in der Informati¬ 
onstechnik ins Leben gerufen. 

Zu den jüngsten Maßnahmen zur Verbesserung der Cyber- und IT-Sicherheit zäh¬ 
len u. a. das IT-Sicherheitsgesetz aus 2015, mit deutlichen Anforderungen an die 
Verbesserung der IT-Sicherheit bei Kritischen Infrastrukturen, die „Cyber-Si¬ 
cherheitsstrategie für Deutschland 2016“ mit übergreifenden Zielstellungen für 
alle Bereiche und Akteure in der IT-Sicherheit und das sogenannte NIS-Richtli- 
nien-Umsetzungsgesetz, in dem auch die Anbieter „Digitaler Dienste“ zur Um¬ 
setzung von Maßnahmen zur Gewährleistung von IT-Sicherheit auf dem jeweili¬ 
gen Stand der Technik verpflichtet werden. 

Das für diese Legislatur geplante IT-Sicherheitsgesetz 2.0 zielt u. a. darauf ab, 
die von Wirtschaftsuntemehmen zu treffenden Schutzmaßnahmen für ihre IT- 
SySterne kontinuierlich auf einem der Bedrohungslage angemessenen Stand zu 
halten, ein IT-Sicherheitskennzeichen einzuführen und den digitalen Verbrau¬ 
cherschutz zu stärken. Hinzu kommen zahlreiche Aktivitäten aller Ressorts der 
Bundesregierung mit denen die Cyber- und IT-Sicherheit kontinuierlich ange¬ 
passt und verbessert wird. 
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25. Wie ist der derzeitige Stand der Erarbeitung des seit langem angekündigten 
sogenannten IT-Sicherheitsgesetzes 2.0, und wann wird die Bundesregie¬ 
rung den Gesetzentwurf dem Deutschen Bundestag zur parlamentarischen 
Beratung vorlegen? 

Der Gesetzentwurf für ein IT-Sicherheitsgesetz 2.0 befindet sich in der Ressort¬ 
abstimmung. Er wird dem Deutschen Bundestag zur parlamentarischen Beratung 
nach Abschluss des in der Gemeinsamen Geschäftsordnung der Bundesministe¬ 
rien (GGO) vorgesehenen Verfahrens vorgelegt. 


26. Wird die Frage der Erfassung und Klassifiziemng von IT-Angriffen im „IT- 
Sicherheitsgesetz 2.0“ eine Rolle spielen? 

Die Bundesregierung nimmt keine Stellung zu Gesetzentwürfen, die sich in der 
Abstimmung befinden. 


27. Gibt es von Seiten der Bundesregierung Überlegungen, die Zuständigkeit für 
die IT-Sicherheit aus dem Bundesministerium des Innern, für Bau und Hei¬ 
mat herauszulösen und einem anderen Ressort zu übertragen? 

Falls ja, welchem? 

Falls nein, wamm nicht? 

Es bestehen keine dahingehenden Überlegungen, die Zuständigkeiten für die IT- 
Sicherheit des Bundesministeriums des Innern, für Bau und Heimat zu verändern. 


28. Gibt es von Seiten der Bundesregiemng Überlegungen, die Zusammenarbeit 
im Cyberabwehrzentrum (CAZ) auf eine neue rechtliche Gmndlage zu stel¬ 
len und personell auszubauen? 

Wenn ja, wie konkret? 

Falls nicht, wird die bisherige Form der Zusammenarbeit und der rechtlichen 
Gmndlagen sowie der personellen Ausstattung als gut bewertet? 

29. Ist das Cyberabwehrzentmm (CAZ) aktuell rund um die Uhr besetzt und hin¬ 
sichtlich anwesender Personen arbeitsfähig? 

Falls nein, zu welchen Zeiten ist das CAZ besetzt? 

30. Plant die Bundesregierung, das Cyberabwehrzentmm (CAZ) mit einem Ko¬ 
ordinator auszustatten, der im Falle eines möglichen Angriffs die Zuständig¬ 
keiten der Behörden koordiniert, wie dies der Inspekteur Cyber- und Infor¬ 
mationsraum, Generalleutnant Ludwig Leinhos angeregt hatte (vgl.; www. 
tah.de/welt/afp-news-single/cyber-inspekteur-brauchen-koordinator-im-na- 
tionalen-cyber-abwehrzentmm.html)? 

31. Welche Aufgaben sollen der Bundeswehr in Zukunft im Rahmen des Cyber¬ 
abwehrzentmm (CAZ) zufallen? 

Wegen des Sachzusammenhangs werden die Fragen 28 bis 31 gemeinsam beant¬ 
wortet. 

Beim Cyber-Abwehrzentrum handelt es sich um eine Informations-, Koordina- 
tions- und Kooperationseinrichtung von Bundesbehörden mit Sicherheitsaufga¬ 
ben, die keine eigenständige Behörde ist. Die am Cyber-Abwehrzentrum betei¬ 
ligten Behörden bringen sich im Rahmen ihrer jeweiligen Zuständigkeiten sowie 
des ansonsten für sie geltenden Rechts ein. 
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Das Cyber-Abwehrzentrum unterliegt einem kontinuierlichen Weiterentwick¬ 
lungsprozess. Im nächsten Schritt wird das Cyber-Abwehrzentrum u. a. das Cy¬ 
ber-Lagebild und die Risikobewertung zu Cyber-Gefahren weiter optimieren so¬ 
wie eine intensivere Koordinierung der operativen Zusammenarbeit realisieren. 
Durch verbesserten Informationsaustausch in Verbindung mit der bereits beste¬ 
henden 24/7-Erreichbarkeit kann zudem schneller und koordinierter auf Cyber- 
Angriffe reagiert werden. Die Zusammenarbeitsprozesse der am Cyber-Abwehr¬ 
zentrum beteiligten Behörden werden deutlich optimiert. 


32. Gibt es von Seiten der Bundesregiemng Überlegungen, das Bundesamt für 
Sicherheit in der Informationstechnik bzw. Teile davon, angesichts der nach 
Ansicht der Fragesteller immer wieder auftretenden Interessenkonflikte, un¬ 
abhängig zu stellen, auch, um es in seiner Beratungsfunktion gegenüber Bür¬ 
gerinnen und Bürgern wie Unternehmen zu stärken? 

Wenn nein, warum nicht? 

Die Bundesregierung beabsichtigt nicht, das Bundesamt für Sicherheit in der In¬ 
formationstechnik (BSI) als unabhängige Stelle einzurichten (vgl. auch Antwort 
zu Frage 24f der Kleinen Anfrage der Fraktion DIE LINKE, auf Bundestags¬ 
drucksache 19/1867). 

Das BSI ist als Cyber-Sicherheitsbehörde auf eine enge Zusammenarbeit mit den 
klassischen Sicherheitsbehörden angewiesen und diese benötigen wiederum die 
Expertise des BSI. Diese Zusammenarbeit lässt sich in geeigneter Weise durch 
die Einbettung des BSI in die bestehenden Strukturen der Bundesregierung ge¬ 
währleisten. 


33. Welche Stelle koordiniert aktuell die notwendige Gesamtbeobachtung hyb¬ 
rider Bedrohungen (hybrid threats), führt die Erkenntnisse zusammen und 
berichtet dazu innerhalb der Bundesregierung? 

Innerhalb der Bundesregierung ist das BMI federführend für den Themenkom¬ 
plex „hybride Bedrohungen“ zuständig. Im Rahmen dieser Zuständigkeit führt 
das BMI Erkenntnisse zusammen und berichtet dazu innerhalb der Bundesregie¬ 
rung. 


34. Gibt es von Seiten der Bundesregierung Überlegungen, neue Zuständigkei¬ 
ten für die systematische Beobachtung hybrider Bedrohungen zu schaffen, 
um so mögliche Angriffe, insbesondere auf zivile und für das staatliche Wohl 
relevante digitale sowie kritische Infrastmkturen, identifizieren und abweh- 
ren zu können? 

Falls ja, welche konkret? 

Falls nein, werden die derzeit zur Verfügung stehenden Strukturen als aus¬ 
reichend betrachtet? 

Die Erkennung von Bedrohungen für die öffentliche Sicherheit und Ordnung ist 
Aufgabe der Sicherheitsbehörden von Bund und Ländern. Um die verschiedenen 
Erkenntnisse zu einer hybriden Bedrohung zusammenzuführen, existieren bereits 
Zusammenarbeitsstrukturen wie u. a. das Cyberabwehrzentrum. Ob die zur Ver¬ 
fügung stehenden Zusammenarbeitsstrukturen als ausreichend betrachtet werden 
können oder daneben neue Zuständigkeiten erforderlich sind, wird regelmäßig 
von der Bundesregierung überprüft. 
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35. Gibt es von Seiten der Bundesregierung Überlegungen, eine eigenständige, 
fachlich unabhängige Organisationseinheit zur Bewertung einer etwaigen 
Zurechenbarkeit von Angriffen (Attribution) zu schaffen? 

Falls ja, welche konkret? 

Falls nicht, warum wird dies als nicht notwendig erachtet? 

Eine eigenständige, fachlich unabhängige Organisationeinheit wird von der Bun¬ 
desregierung nicht angestrebt. Die Attribution von Cyberangriffen erfolgt aktuell 
durch die jeweils zuständigen Behörden, die sich abstimmen. Der Abstimmungs¬ 
prozess wird derzeit überprüft. 


36. Flält die Bundesregiemng an ihren Plänen, eine gesetzliche Grundlage zur 
Ermöglichung digitaler Gegenschläge, sogenannter Flackbacks, fest, und 
wer soll nach den bisherigen Plänen der Bundesregierung auf welcher 
Rechtsgrundlage die politische wie rechtliche Verantwortung für derartige 
Angriffe übernehmen? 

37. Welche konkreten Pläne und Überlegungen haben die Bundesregierung oder 
einzelne Bundesministerien hierzu in den vergangenen zwölf Monaten an¬ 
gestellt, welche Treffen haben hierzu zwischen verschiedenen Bundesmini¬ 
sterien stattgefunden, welche Papiere wurden hierzu erarbeitet, welche Gut¬ 
achten, beispielsweise zu verfassungs-, europa- und/oder völkerrechtlichen 
Fragen, bei wem in Auftrag gegeben und welche „Stufenpläne“ erstellt (vgl. 
www.tagesschau.de/investigativ/seehofer-cyberabwehr-103.html)? 

38. Gibt es nach Kenntnis der Bundesregierung eine im Koalitionsvertrag zwi¬ 
schen CDU, CSU und SPD festgehaltene, diesbezügliche Vereinbarung oder 
anderweitige, zwischenzeitlich erfolgte Einigung bezüglich des weiteren 
Vorgehens? 

39. Ist von Seiten der Bundesregierung diesbezüglich eine Ändemng des Gmnd- 
gesetzes geplant, und wann will die Bundesregiemng dem Parlament einen 
entsprechenden Vorschlag vorlegen? 

40. Ist nach Ansicht der Bundesregierung ein Mandat des Deutschen Bundesta¬ 
ges für einen digitalen Gegenschlag („Flackback“) notwendig? 

Falls nicht, wie begründet die Bundesregierung diese Rechtsauffassung? 

41. Wie bewertet die Bundesregiemng die Gefahr, dass durch Angriffe und das 
Eindringen in fremde Systeme („Flackbacks“) Eskalationsspiralen im digita¬ 
len Raum befördert werden können? 

Wegen des Sachzusammenhangs werden die Fragen 36 bis 41 gemeinsam beant¬ 
wortet. 

Die im Zusammenhang mit Maßnahmen der aktiven Cyber-Abwehr aufgeworfe¬ 
nen Fragestellungen werden derzeit von der Bundesregierung geprüft. Diese Prü¬ 
fungen sind noch nicht abgeschlossen. Im Rahmen dieser Prüfungen fanden und 
finden auch Ressortbesprechungen statt. Im Rahmen dieser Prüfungen wurden 
von der Bundesregierung keine wissenschaftlichen Gutachten bei Dritten in Auf¬ 
trag gegeben. 

Darüber hinaus wird auf die Antworten der Bundesregierung zu den Fragen 1 bis 
3 sowie 22 der Kleinen Anfrage der Fraktion der FDP auf Bundestagsdrucksache 
19/5472 verwiesen. 

Der Koalitionsvertrag zwischen CDU, CSU und SPD ist öffentlich einsehbar. 
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42. Hat die Bundesregierung einen multidisziplinären Prüfprozess nach Arti¬ 
kel 36 des Zusatzprotokolls vom 8. Juni 1977 zu den Genfer Abkommen 
vom 12. August 1949 über den Schutz der Opfer internationaler bewaffneter 
Konflikte (ZP I) der Genfer Konvention für Einsätze offensiver Fähigkeiten 
der Bundeswehr zum Wirken im Cyber-Raum und deren Vereinbarkeit mit 
dem geltenden humanitären Völkerrecht durchgeführt, und wenn ja, mit wel¬ 
chem Ergebnis? 

Falls nein, warum nicht? 

Einsätze von Cyber-Fähigkeiten der Bundeswehr folgen nur in Übereinstimmung 
mit den geltenden Rechtsgrundlagen. Dazu wird jeder Einsatz rechtlich geprüft 
und durch Rechtsberater begleitet. Cyber-Wirkmittel wurden als Mittel der 
Kriegsführung in Überstimmung mit Artikel 36 des Zusatzprotokoll I zu den Gen¬ 
fer Abkommen auf ihre Vereinbarkeit mit dem humanitären Völkerrecht geprüft. 
Cyber-Wirkmiftel sind demnach kein per se unzulässiges Mittel der Kriegsfüh¬ 
rung. Ein konkreter Einsatz muss in Übereinstimmung mit den humanitär-völker¬ 
rechtlichen Vorgaben, insbesondere dem Unterscheidungsgebot, erfolgen. 


43. Sieht die Bundesregierung die Gefahr, wonach undifferenzierte, nicht näher 
erläuterte Angaben zu „millionenfachen Cyberangriffen“ (vgl. etwa die Zah¬ 
len aus der Antwort der Bundesregierung auf die Schriftliche Frage zur Bun¬ 
deswehr, Quelle siehe Fragen 5 und 6) schon aufgmnd etwa der fehlenden 
näheren Aufschlüsselung nach Gefahrenstufen geeignet sein können, mehr 
Vemnsicherung statt Aufklärung der Öffentlichkeit zu bewirken, und wenn 
nein, wamm nicht? 

Im Geschäftsbereich des Bundesministeriums der Verteidigung findet eine Diffe¬ 
renzierung sämtlicher IT-Vorfälle, die an den zentralen Intemetübergängen durch 
die Sensorik erfasst werden, entlang der Gefahrenstufen „gering“ und „hoch“ 
statt. 

Im Übrigen wird auf die Antwort zu Frage 9 verwiesen. 


44. Hat die Bundesregierung eine Position zur Fordemng des Inspekteurs Cyber- 
und Informationsraum der Bundeswehr, Generalleutnant Ludwig Leinhos 
nach Einrichtung eines so genannten „digitalen Verteidigungsfalles“, der un¬ 
terhalb der Schwelle eines „klassischen Verteidigungsfalles“ anzusiedeln sei 
(vgl.; www.tah.de/welt/afp-news-single/cyber-inspekteur-brauchen-koordinator- 
im-nationalen-cyber-abwehrzentmm.html), und wenn ja, welche? 

a) Was genau ist nach Ansicht der Bundesregierung unter einem „digitalen 
Verteidigungsfall“ zu verstehen? 

b) Welche gesetzlichen Grundlagen bestehen nach Ansicht der Bundesregie¬ 
rung hierfür bzw. wären zu schaffen? 

c) Welche Voraussetzungen müssen erfüllt sein, dass es zur Ausrufung eines 
solchen „digitalen Verteidigungsfalles“ käme? 

Welche Kompetenzen und welche Rolle kämen jeweils dem Deutschen 
Bundestag, dem Bundesrat sowie der Bundesregiemng zu? 

d) Plant die Bundesregiemng hierzu Gesetzesinitiativen bzw. Ändemngen 
des Gmndgesetzes? 

Die Fragen 44 und 44a bis 44d werden aufgrund ihres inhaltlichen Zusammen¬ 
hangs zusammen beantwortet. 
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Der Begriff „digitaler Verteidigungsfall“ wird durch die Bundesregierung nicht 
verwendet, daher existiert hierfür keine festgelegte Definition. Er stellt keinen 
Rechtsbegriff dar, der an rechtliche Voraussetzungen anknüpft oder rechtliche 
Konsequenzen auslöst. 


45. Ist aus Sicht der Bundesregierung der Übergang von der sogenannten Cyber¬ 
abwehr zur „Cyberverteidigung“ ausreichend klar gesetzlich geregelt? 

Wenn nein, wo besteht hier Nachsteuerungsbedarf? 

Cyber-Abwehr und Cyber-Verteidigung sind sich ergänzende Mittel zum Errei¬ 
chen von Cyber-Sicherheit und damit zwei stetig wahrzunehmende Aufgabenbe¬ 
reiche. 

Im Falle eines bewaffneten Angriffs steht der Bundesrepublik Deutschland das 
Recht zu, sich zu verteidigen. Dies erlaubt eine Reaktion mit allen nach Maßgabe 
des Völkerrechts zulässigen militärischen Mitteln und umfasst auch den Einsatz 
von militärischen Cyber-Fähigkeiten. Auch in diesem Fall findet in Deutschland 
weiterhin zivile Cyber-Abwehr statt. 
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